本发明专利技术涉及数据安全保护技术领域,具体涉及一种工业互联网标识数据安全访问方法。该方法包括:获取数据访问请求,确定数据访问请求的初始信任值;确定主体的登录行为异常指标,结合初始信任值和登录行为异常指标得到目标信任值;根据第一安全级和第二安全级确定主体对客体的可操作权限类型,根据可操作权限类型对目标信任值进行划分,得到权限数值区域;根据任一时间点主体对客体的数据访问时间调整目标信任值,得到调整信任值;根据调整信任值和权限数值区域,确定不同时间点主体对客体的操作权限。本发明专利技术能够有效保护数据访问的安全性。性。性。
【技术实现步骤摘要】
工业互联网标识数据安全访问方法
[0001]本专利技术涉及数据安全保护
,具体涉及一种工业互联网标识数据安全访问方法。
技术介绍
[0002]工业互联网标识数据包含各工业环节中的进度、流程、配方、工艺等机密数据,因此,工业互联网对数据的安全性和机密性的要求较高,且相较于其他隐私性较高的数据来说,工业互联网标识数据由于涉及项目人员众多,通常需要频繁地读写,这样会进一步导致隐私保护效果较差。
[0003]相关技术中,通过使用安全策略(Bell
‑
La Padula,BLP)模型,实现工业互联网标识数据访问的安全保护,这种方式下,由于传统BLP模型访问灵活性较差,通常会导致低等级主体对高等级客体的无限写操作和高等级主体对低等级客体的无限读操作,使得数据安全性较差在工业互联网标识数据被大量访问的情况下,无法对工业互联网标识数据进行有效的访问隔离和保护,敏感信息的机密性不足,因此,亟需对工业互联网标识数据的安全访问进行有效管理。
技术实现思路
[0004]为了解决数据安全性较差,无法对工业互联网标识数据进行有效的访问隔离和保护,敏感信息的机密性不足的技术问题,本专利技术提供一种工业互联网标识数据安全访问方法,所采用的技术方案具体如下:本专利技术提出了一种工业互联网标识数据安全访问方法,发起访问的用户账号为主体,所述工业互联网标识数据为被访问的客体,方法包括:获取数据访问请求,从所述数据访问请求中提取主体和主体的第一安全级、客体和客体的第二安全级;获取所述客体的历史被访问记录;根据所述第一安全级、所述第二安全级和所述客体的历史被访问记录确定所述数据访问请求的初始信任值;获取主体在登录过程中的登录次数和每次登录对应的待验证的密码,根据所述待验证的密码与真实密码的差异和登录次数,确定所述主体的登录行为异常指标,根据所述登录行为异常指标对所述初始信任值进行更新,得到目标信任值;根据所述第一安全级和所述第二安全级确定所述主体对所述客体的可操作权限类型,根据所述可操作权限类型对所述目标信任值进行划分,得到权限数值区域;根据任一时间点所述主体对客体的数据访问时间调整所述目标信任值,得到调整信任值;根据不同时间点的调整信任值和所述权限数值区域,确定对应时间点主体对客体的操作权限,其中,所述可操作权限类型包括可读不可写,可读可写、可写不可读和不可写不可读四种操作权限。
[0005]进一步地,所述根据所述第一安全级、所述第二安全级和所述客体的历史被访问记录确定所述数据访问请求的初始信任值,包括:
从所述客体的历史被访问记录中统计所述客体的被访问时间,计算所述被访问时间的归一化值作为时间影响系数;根据所述第一安全级和第二安全级的差异确定安全级影响系数;计算所述时间影响系数和所述安全级影响系数的乘积,并将其映射至预设数值范围内,得到初始信任值。
[0006]进一步地,所述根据所述第一安全级和第二安全级的差异确定安全级影响系数,包括:计算所述第一安全级和所述第二安全级的差值作为安全级差异;对所述安全级差异进行反比例的归一化处理得到安全级影响系数。
[0007]进一步地,所述根据所述待验证的密码与真实密码的差异和登录次数,确定所述主体的登录行为异常指标,包括:将所述待验证的密码中字符的类型作为待验证字符类型,将所述真实密码中字符的类型作为真实字符类型;计算所述待验证字符类型和所述真实字符类型的中字符的类型相同的数量,获得同类型数量;将所述真实字符类型的中字符的类型的总数量,作为目标数量;将所述同类型数量与所述目标数量的比值作为对应待验证的密码的初始可信度;统计所有登录次数情况下对应待验证的密码的初始可信度的均值作为密码可信度;对所述登录次数进行反比例归一化处理得到异常影响因子;计算所述密码可信度和所述异常影响因子的乘积的归一化值作为登录行为异常指标。
[0008]进一步地,所述根据所述登录行为异常指标对所述初始信任值进行更新,得到目标信任值,包括:计算所述登录行为异常指标和所述初始信任值的乘积作为目标信任值。
[0009]进一步地,所述操作权限由高到低的顺序为可读不可写,可读可写、可写不可读和不可写不可读,所述根据所述第一安全级和所述第二安全级确定所述主体对所述客体的可操作权限类型,包括:根据预设安全级匹配规则结合所述第一安全级和所述第二安全级,获得所述主体对所述客体的可操作权限,将不高于所述可操作权限的操作权限作为可操作权限类型。
[0010]进一步地,所述根据所述可操作权限类型对所述目标信任值进行划分,得到权限数值区域,包括:将目标信任值至数值0的数据段作为信任值段;获取所述可操作权限类型的类型数量,计算所述类型数量减一作为子段数量;根据所述子段数量对所述信任值段进行划分,得到信任值子段,根据所述操作权限由高到低的顺序确定每个信任值子段所分别对应的操作权限,将所述信任值子段对应的数值区域作为每个操作权限所分别对应的权限数值区域。
[0011]进一步地,所述根据所述子段数量对所述信任值段进行划分,得到信任值子段,包括:将所述信任值段平均划分为子段数量个信任值子段。
[0012]进一步地,所述根据任一时间点所述主体对客体的数据访问时间调整所述目标信
任值,得到调整信任值,包括:计算所述时间点下所述主体对客体的数据访问时间和预设信任值衰减系数的乘积作为信任衰减值;将所述目标信任值与对应信任衰减值的差值作为调整信任值。
[0013]进一步地,所述根据不同时间点的调整信任值和所述权限数值区域,确定对应时间点主体对客体的操作权限,包括:确定任一时间点所述调整信任值所属权限数值区域为调整数值区域,将所述调整数值区域对应的操作权限作为对应时间点主体对客体的操作权限。
[0014]本专利技术具有如下有益效果:本专利技术通过结合主体安全级、客体安全级和客体的历史被访问记录确定数据访问请求的初始信任值,通过分析主体对客体的安全级差异,进而对访问情况进行信任值赋值,保证初始信任值的准确性,通过主体在进行登录时的登录行为,对登录行为的异常程度进行分析,其中,登录行为的异常包括密码的准确度和登录次数,登录行为异常指标能够准确表征登录行为的异常程度,保证对主体登录进行客观准确的分析,进而结合主体登录过程中的登录行为异常指标和初始信任值,得到目标信任值,其中,由于不同次登录时客体的历史被访问记录和主体的登录情况均可能产生差异,因此,目标信任值也会随之产生对应的变化,使得目标信任值能够根据实时的数据访问情况进行调整,保证目标信任值的可靠性。通过分析主体对客体的可操作权限类型,进而确定权限数值区域,便于后续结合主体对客体的数据访问时间、目标信任值和权限数值区域,对主体的操作权限进行调整,从而避免传统BLP模型中无限读无限写导致的数据安全性问题,对工业互联网标识数据进行有效的访问隔离和保护、实现更细粒度的数据访问权限控制,并协调访问控制策略,提高工业互联网标识数据的安全性和保护敏感信息的机密性。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案和优点,下面将本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业互联网标识数据安全访问方法,其特征在于,发起访问的用户账号为主体,所述工业互联网标识数据为被访问的客体,所述方法包括:获取数据访问请求,从所述数据访问请求中提取主体和主体的第一安全级、客体和客体的第二安全级;获取所述客体的历史被访问记录;根据所述第一安全级、所述第二安全级和所述客体的历史被访问记录确定所述数据访问请求的初始信任值;获取主体在登录过程中的登录次数和每次登录对应的待验证的密码,根据所述待验证的密码与真实密码的差异和登录次数,确定所述主体的登录行为异常指标,根据所述登录行为异常指标对所述初始信任值进行更新,得到目标信任值;根据所述第一安全级和所述第二安全级确定所述主体对所述客体的可操作权限类型,根据所述可操作权限类型对所述目标信任值进行划分,得到权限数值区域;根据任一时间点所述主体对客体的数据访问时间调整所述目标信任值,得到调整信任值;根据不同时间点的调整信任值和所述权限数值区域,确定对应时间点主体对客体的操作权限,其中,所述可操作权限类型包括可读不可写,可读可写、可写不可读和不可写不可读四种操作权限。2.如权利要求1所述的一种工业互联网标识数据安全访问方法,其特征在于,所述根据所述第一安全级、所述第二安全级和所述客体的历史被访问记录确定所述数据访问请求的初始信任值,包括:从所述客体的历史被访问记录中统计所述客体的被访问时间,计算所述被访问时间的归一化值作为时间影响系数;根据所述第一安全级和第二安全级的差异确定安全级影响系数;计算所述时间影响系数和所述安全级影响系数的乘积,并将其映射至预设数值范围内,得到初始信任值。3.如权利要求2所述的一种工业互联网标识数据安全访问方法,其特征在于,所述根据所述第一安全级和第二安全级的差异确定安全级影响系数,包括:计算所述第一安全级和所述第二安全级的差值作为安全级差异;对所述安全级差异进行反比例的归一化处理得到安全级影响系数。4.如权利要求1所述的一种工业互联网标识数据安全访问方法,其特征在于,所述根据所述待验证的密码与真实密码的差异和登录次数,确定所述主体的登录行为异常指标,包括:将所述待验证的密码中字符的类型作为待验证字符类型,将所述真实密码中字符的类型作为真实字符类型;计算所述待验证字符类型和所述真实字符类型的中字符的类型相同的数量,获得同类型数量;将所述真实字符类型的中字符的类型的总数量,作为目标数量;将所述同类型数量与所述目标数量的比值作为对应待验证的...
【专利技术属性】
技术研发人员:田常立,苏冠群,吴丹丹,姚庆刚,田艳艳,单珂,路超,张拂晓,王龙伟,陈子傲,
申请(专利权)人:智联信通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。